在 Android 14 中,不再允許修改系統證書,即使是 root

交流安卓14

Android 14 帶來了權威證書管理方面的變化

幾天前 HTTP Toolkit 開發者分享 通過博客文章, 有關細節的信息 您在證書頒發機構證書更新方式中註意到 (CA) Android 14。

HTTP Toolkit 開發人員提請您注意以下事實:在 Android 14 中,系統證書 它們將不再鏈接到固件,但它將以單獨的包形式提供,並通過“Google Play”系統應用程序商店進行更新。

當開放手機聯盟(由 Google 領導)於 2007 年首次宣布 Android 時,其旗艦項目被宣傳為“開放平台”,“為開發人員提供新水平的開放性”並讓他們“完全訪問功能和工具”電話。 «。

從那時起,我們已經走了很長一段路,穩步遠離設備的開放性和用戶控制,並走向一個更加封閉和供應商控制的世界。

開發商在他們的出版物中 分享他們的一些擔憂 在發展過程中,尤其是Android的發展道路上,它越來越遠離承諾的“開放平台”,因為隨著不同版本的推出,該系統已經“關閉了更多”和更多。”

他們提到 在權威證書部分 “變得更加嚴格 並且似乎無法修改受信任的證書集” 即使在完全root的設備上。

關於Android 14中證書處理的變化, 這種方法“應該”是為了更容易地保持證書最新 並從受損的證書頒發機構中刪除證書,還將防止設備製造商篡改根證書列表並使更新過程獨立於固件更新。

而不是 /system/etc/security/cacerts 目錄, Android 14 中的證書 它們是從 /apex/com.android.conscrypt/cacerts 目錄加載的,託管在單獨的 APEX (Android Pony EXpress) 容器中,其內容通過 Google Play 交付,完整性由 Google 進行數字控制和簽名。 因此,即使具有 root 權限完全控制系統,用戶在不更改平台的情況下也無法更改系統證書列表的內容。

這一過程的關鍵轉折點是 Android 7(Nougat,於 2016 年發布),其中以前可由手機所有者完全修改的設備證書頒發機構 (CA) 被分為兩部分:由操作系統供應商提供固定 CA 的列表並默認由手機上的所有應用程序使用,以及用戶可以控制的另一組用戶可修改的CA,但僅用於專門選擇加入的應用程序(即幾乎沒有)。

新方案 證書存儲 可能會給參與逆向工程的開發人員帶來困難、交通檢查或固件研究,並且可能會使開發替代的基於 Android 的固件(例如 GrapheneOS 和 LineageOS)的項目的開髮變得複雜。

由於並非一切都像聽起來那麼好,並且正如我們已經提到的,HTTP 工具包表示不同意新的交付方法,因為它不允許用戶更改系統證書,即使他們具有對系統證書的 root 訪問權限。系統並具有完整的固件控制。

更改僅影響系統 CA 證書, 默認情況下,它們在設備上的所有應用程序中使用,並且不會影響用戶證書的處理或為單個應用程序添加其他證書的能力(例如,保留為瀏覽器添加其他證書的能力)。

同時,問題不僅僅限於帶有證書的軟件包:隨著系統功能轉移到單獨更新的 APEX 軟件包中,用戶無法控製或更改的系統組件的數量將會增加,無論是否存在 root 訪問權限到設備。

終於如果你有興趣了解更多, 您可以查看詳細信息 在下面的鏈接中。


發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。